サーバー会社から連絡が来て、契約しているサーバーから外部への不正アクセスしようとしているとの連絡を受けました。テスト系のサーバーでワードプレスが複数入っており、いくつかはプラグインが自動更新されない状態でした。
サーバーとしてはポートはwebとmailとssh関係以外はFireWallでブロックしています。
sshも固定IPからの接続のみとしてサーバープログラムは週に一度更新していたものです。
ログからも怪しいアクセスは見つけられませんでした。
すぐに停止する前に一応何が攻撃しているのか切り分けを行いました。
にて外部攻撃の状況を確認しました。
どうやら外部のワードプレスに対して不正ログインを試みようとしているようです。
まず、wordpressのプラグインが悪さしているならサイトにアクセスさせなければと、Webサーバーのバーチャルドメインの設定をすべて停止しました。
サーバーのネットワークステータスで状況確認です。
netstat -anp | grep :443
外部へのアクセスは止まりません。
Webサーバーが外部にアクセスしているようです。
Webサーバーを停止します。
外部アクセスが止まりました。
どうやらapacheのモジュールが書き換えられたようです。
root権限で実行されたと考えられれ、サーバー放棄です。
OSの再インストール(OSもバージョンアップ)しました。
根本原因がわかっていないのでワードプレスはすべて再インストール、プラグインも再インストールです。
テスト系だったので助かりましたが、本番系ですともっと細かく原因を追う必要があったと思います。
私が管理しているサーバーはいずれもネットワークはこれ以上ポートを空けられない状態で外部FWを入れて運用子ています。それでも今回のようなことは発生しうる可能性があり、個別に監視を強化することとなりました。
